WAF Custom Allowed Rules
Web Application Firewall (WAF) Custom Allowed Rules é um recurso que permite instanciar regras de WAF especificamente para a necessidade de suas edge applications, considerando o tráfego, requisições e dados reais de suas aplicações. Use WAF Custom Allowed Rules para ampliar os níveis de segurança de seu aplicativo e também para impedir falsos positivos.
Pré-requisitos
Para instanciar Custom Allowed Rules em um WAF Rule Set, você deve ter uma configuração de Edge Firewall com o módulo Web Application Firewall ativado.
Regras internas do WAF
Sua WAF Custom Allowed Rule pode ser baseada em solicitações reais, marcadas pelo WAF como possíveis ameaças. Você também pode criar uma custom allowed rule em casos de testes e falsos positivos.
Ao criar Custom Allowed Rule para uma configuração de WAF, é necessário escolher, entre as disponíveis, uma regra interna para sua composição.
Veja, abaixo, a lista de todas as regras internas disponíveis:
| ID da Regra | Descrição |
|---|---|
| 1 | Solicitação estranha, incapaz de analisar |
| 2 | Requisição maior que 128 kilobytes, armazenada no disco e não parseada |
| 10 | Codificação HEX inválida (bytes nulos) |
| 11 | Cabeçalho Content-Type ausente ou desconhecido em um POST. Esta regra se aplica apenas à zona de correspondência Request Body |
| 12 | Formatação de URL inválida |
| 13 | Formato POST inválido Nota: requisições que se enquadram na regra 13 serão bloqueadas em alguns casos, mesmo que o WAF esteja operando em modo learning. Veja na documentação do Rules Engine para Edge Firewall a definição dos modos learning/blocking. Veja no guia como verificar o modo do seu WAF. |
| 14 | Limite de POST inválido |
| 15 | Formato JSON inválido |
| 16 | POST sem corpo |
| 17 | Possível ataque de SQL Injection: validação com libinjection_sql |
| 18 | Possível ataque de XSS: validação com libinjection_xss |
| 1000 | Possível ataque de SQL Injection: palavras-chave SQL encontradas no Body, Path, Query String ou Cookies |
| 1001 | Possível ataque de SQL Injection: aspas duplas " encontradas no Body, Path, Query String ou Cookies |
| 1002 | Possível ataque de SQL Injection: possível codificação HEX 0x encontrada no Body, Path, Query String ou Cookies |
| 1003 | Possível ataque de SQL Injection: comentário MySQL /* encontrado no Body, Path, Query String ou Cookies |
| 1004 | Possível ataque de SQL Injection: comentário MySQL */ encontrado no Body, Path, Query String ou Cookies |
| 1005 | Possível ataque de SQL Injection: palavra-chave MySQL | encontrada no Body, Path, Query String ou Cookies |
| 1006 | Possível ataque de SQL Injection: palavra-chave MySQL && encontrada no Body, Path, Query String ou Cookies |
| 1007 | Possível ataque de SQL Injection: comentário MySQL -- encontrado no Body, Path, Query String ou Cookies |
| 1008 | Possível ataque de SQL Injection ou XSS: ponto e vírgula ; encontrado no Body, Path ou Query String |
| 1009 | Possível ataque de SQL Injection: sinal de igual = encontrado no Body ou Query String |
| 1010 | Possível ataque de SQL Injection ou XSS: parêntese aberto ( encontrado no Body, Path, Query String ou Cookies |
| 1011 | Possível ataque de SQL Injection ou XSS: parênteses fechado ) encontrado no Body, Path, Query String ou Cookies |
| 1013 | Possível ataque de SQL Injection ou XSS: apóstrofe ' encontrado no Body, Path, Query String ou Cookies |
| 1015 | Possível ataque de SQL Injection: vírgula , encontrada no Body, Path, Query String ou Cookies |
| 1016 | Possível ataque de SQL Injection: comentário MySQL # encontrado no Body, Path, Query String ou Cookies |
| 1017 | Possível ataque de SQL Injection: sinal de arroba duplo @@ encontrado no Body, Path, Query String ou Cookies |
| 1100 | Possível ataque de RFI: esquema http:// encontrado no Body, Query String ou Cookies |
| 1101 | Possível ataque de RFI: esquema https:// encontrado no Body, Query String ou Cookies |
| 1102 | Possível ataque de RFI: esquema ftp:// encontrado no Body, Query String ou Cookies |
| 1103 | Possível ataque de RFI: esquema php:// encontrado no Body, Query String ou Cookies |
| 1104 | Possível ataque de RFI: esquema sftp:// encontrado no Body, Query String ou Cookies |
| 1105 | Possível ataque de RFI: esquema zlib:// encontrado no Body, Query String ou Cookies |
| 1106 | Possível ataque de RFI: esquema data:// encontrado no Body, Query String ou Cookies |
| 1107 | Possível ataque de RFI: esquema glob:// encontrado no Body, Query String ou Cookies |
| 1108 | Possível ataque de RFI: esquema phar:// encontrado no Body, Query String ou Cookies |
| 1109 | Possível ataque de RFI: esquema file:// encontrado no Body, Query String ou Cookies |
| 1110 | Possível ataque de RFI: esquema gopher:// encontrado no Body, Query String ou Cookies |
| 1198 | Possível ataque de RCE: validação com log4j (Log4Shell) no HEADERS_var |
| 1199 | Possível ataque de RCE: validação com log4j (Log4Shell) no Body, Path, Query String ou Cookies |
| 1200 | Possível ataque de Directory Traversal: ponto duplo .. encontrado no Body, Path, Query String ou Cookies |
| 1202 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /etc/passwd encontrada no Body, Path, Query String ou Cookies |
| 1203 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório com caminho c:\\ encontrado no Body, Path, Query String ou Cookies |
| 1204 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório cmd.exe encontrado no Body, Path, Query String ou Cookies |
| 1205 | Possível ataque de Directory Traversal: backslash \ encontrado no Body, Path, Query String ou Cookies |
| 1206 | Possível ataque de Directory Traversal: slash / encontrado no Body, Path, Query String ou Cookies |
| 1207 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /..;/) encontrado no Body, Path, Query String ou Cookies |
| 1208 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /.;/) encontrado no Body, Path, Query String ou Cookies |
| 1209 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /./) encontrado no Body, Path, Query String ou Cookies |
| 1302 | Possível ataque de XSS: tag aberta HTML < encontrada no Body, Path, Query String ou Cookies |
| 1303 | Possível ataque de XSS: tag fechada HTML > encontrada no Body, Path, Query String ou Cookies |
| 1310 | Possível ataque de XSS: colchete aberto [ encontrado no Body, Path, Query String ou Cookies |
| 1311 | Possível ataque de XSS: colchete fechado ] encontrado no Body, Path, Query String ou Cookies |
| 1312 | Possível ataque de XSS: caractere til ~ encontrado no Body, Path, Query String ou Cookies |
| 1314 | Possível ataque de XSS: caractere ` (backtick) encontrado no Body, Path, Query String ou Cookies |
| 1315 | Possível ataque de XSS: codificação dupla %2|3 encontrada no Body, Path, Query String ou Cookies |
| 1400 | Possível truque para evitar a proteção: codificação UTF7/8 &# encontrado no Body, Path, Query String ou Cookies |
| 1401 | Possível truque para evitar a proteção: codificação MS %U encontrada no Body, Path, Query String ou Cookies |
| 1402 | Possível truque para evitar a proteção: caracteres codificados %20-%3F encontrados no Body, Path, Query String ou Cookies |
| 1500 | Possible File Upload attempt: asp/php ou .ph, .asp, .ht encontrados no nome de um arquivo em um POST de múltiplas partes contendo um arquivo |
Contribuidores
